1Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

RSA cumple 36 años y se le ha caducado el carné joven

Jorge Ramió Aguirre

UPM - Criptored

jramio@eui.upm.es

Madrid, 7 de marzo de 2014

2Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Desarrollo de la presentación

Introducción al tema

Cosas simpáticas de RSA

Los ataques más ortodoxos no prosperan

– Ataque por factorización entera

– Ataque por cifrado cíclico

– Ataque por paradoja del cumpleaños

Los ataques por canal lateral sí prosperan

Pero, no sólo RSA se ve afectado …

3Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Interés en algoritmo RSA …

Es un estándar … y eso marca

Como algoritmo es interesante

Febrero de 1978 – Febrero de 2014

Longevo, acaba de cumplir 36 años

Increíble pero sigue aguantando

Su diseño es sencillo

Fácil compresión, incluso ellos se enteran

DENTRO VÍDEO…

4Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Los enteraos … 7 magníficos

5Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Las operaciones en RSA …

Cifrado: Ne mod n (intercambio clave)

Descifrado: Cd mod n

Se realizan dentro de un cuerpo

Es necesario calcular inversos, lo de clave pública y clave privada

Y poco más…

Eso sí, no confundir cuerpo por cuerpazo ni inversos por lo otro

DENTRO VÍDEO…

6Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Otros cuerpos … y otros inversos

7Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Breve repaso del algoritmo (1)

Febrero de 1978: Ron Rivest, Adi Shamir y Leonard Adleman proponen el algoritmo de cifra con clave pública RSA.

1. Cada usuario elige un grupo n = pq (pueden ser y de hecho son distintos).

2. Los valores p y q no se hacen públicos.

3. Cada usuario calcula (n) = (p-1)(q-1).

4. Cada usuario elige una clave pública e de forma que 1 < e < (n) y que cumpla con la condición: mcd [e, (n)] = 1.

8Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Breve repaso del algoritmo (2)

5. Cada usuario calculará ahora su clave privada d = inv [e,(n)].

6. Se hace público el cuerpo n y la clave e.

7. Se guarda en secreto la clave d. También se guardarán en secreto p y q para la operación de descifrado con el Teorema Chino del Resto.

8. Cifra: C = NeR mod nR (ojo... sólo números)

9. Firma: C = h(M)dE mod nE

9Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Fortaleza de RSA

Factorización entera (NP) para poder calcular la clave privada (complicado …)

Ataque al secreto por cifrado cíclico (mucho más complicado …)

Ataque directo (P) a la clave secreta por paradoja del cumpleaños … (más de lo mismo, aunque puede ser distribuido)

Otros ataques no al algoritmo sino al entorno físico: canal lateral (escuchan sonidos, leen energía consumida, ...)

10Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Once preguntas y once NO (1)

1. ¿Puedo elegir los primos p y q de igual valor?

2. ¿Puedo elegir como clave pública e el valor que yo quiera?

3. ¿Se cifrarán todos los números secretos que pueda generar como clave de sesión?

4. ¿Debo preocuparme porque mi clave RSA tenga números que no se cifren y vayan en claro?

5. ¿Si hay una clave pública, existe entonces una única clave privada?

6. ¿Debo preocuparme si mi clave RSA tiene más de una clave privada?

Ver documento a publicarse en Criptored el 10/03/2014

11Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Once preguntas y once NO (2)

7. ¿El secreto intercambiado está asegurado si no se conoce la clave privada del destino?

8. ¿En el ataque por cifrado cíclico, si el resultado de una cifra se vuelve a cifrar con los mismos parámetros y la operación se repite varias veces, recorremos todo el cuerpo?

9. ¿Es factible el ataque por factorización entera para claves reales?

10. ¿Todos los ataques a RSA son del tipo NP?

11. ¿Los ataques de canal lateral tienen poco futuro?

Los temas 7 al 10 se analizarán con demos

12Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 7

7. Secreto roto sin conocer clave privada

Demo clave de 30 bits

13Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 8

8. Anillos en ataque por cifrado cíclico

Interesante … no será “mi tessooro” … Demo clave de 20 bits

14Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 9

9. Factorización entera con Msieve151

Thu Feb 27 20:35:10 2014 Msieve v. 1.51 (SVN 845)

Thu Feb 27 20:35:10 2014 random seeds: a38426d0 91daea70

Thu Feb 27 20:35:10 2014 factoring

… un producto de dos primos consecutivos de 45 dígitos c/u (297 bits)

Thu Feb 27 21:12:58 2014 elapsed time 00:37:48

Demo clave de 200 bits

15Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 10

10. Paradoja del cumpleaños en local: servidor

Demo clave de 60 bits

16Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 10

10. Paradoja del cumpleaños en local: cliente

17Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 10

HIGH PERFORMANCE DATA CENTER

VALLEKAS 2

18Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 10

10. Paradoja del cumpleaños red: servidor

Sin red , no hay demo

19Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 10

10. Paradoja del cumpleaños red: cliente

20Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 11

11. Ataque por canal lateral (no sólo para RSA)

Los ceros y los unos …The sound of silence

21Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Cuestión 11

11. Canal lateral (el verdadero peligro)

22Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Soluciones

Ir a la raíz … TEMPEST

Implementación …

23Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Referencias básicas

J. Ramió; Curso Crypt4you http://www.criptored.upm.es/crypt4you/temas/RSA/leccion0/leccion00.html

J. Ramió, Artículo RSA cumple 36 años y se le ha caducado el carné joven (29 páginas) http://www.criptored.upm.es/guiateoria/gt_m001k1.htm

A. Fuentes, L. Hernández, A. Martín, B. Alarcos; CIBSI 2013. Diseño de un conjunto de herramientas software para ataques por canal lateral. http://www.criptored.upm.es/descarga/ListadoActasCIBSI_TIBETS2013.zip

D. Genkin, A. Shamir, E. Tromer; RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf